Trainingen om mensen voldoende bewust te maken van cybersecurity en phishing zijn het meest effectief als ze elk half jaar worden herhaald.
Dat blijkt uit onderzoek van enkele Duitse universiteiten, waaronder het Karlsruhe Institute of Technology en de Technische Universität Darmstadt. Het onderzoek vond plaats bij een organisatie in de publieke sector.
In Duitsland zijn publieke organisaties verplicht om een Information Security Management System (ISMS) voor informatiebeveiliging (ISMS) te implementeren en te gebruiken. Tijdens het onderzoek werd periodiek getest of medewerkers in staat waren om phishingmails te herkennen.
De onderzoekers verdeelden de testpersonen in groepen. Vier, zes, acht, tien en twaalf maanden na afronding van de awareness-training kregen ze telkens een phishingtest. Na vier maanden konden de deelnemers phishingmails nog herkennen. Wanneer de laatste phishingtraining een half jaar geleden was, of langer, was dat niet meer het geval.
De onderzoekers concluderen in hun paper dat dergelijke bewustwordingstrainingen effectief zijn om aanvallen af te weren. Voorwaarde is wel dat zo’n training periodiek herhaald, of opnieuw gevolgd, wordt. Bij voorkeur elke zes maanden en met interactieve trainingen of videotrainingen, aldus de onderzoekers.
